Congreso DINTEL ENS 2011

Transcripción

1 Plan de Adecuación n al ENS en el SCS Madrid, 29 de marzo de 2011

2 SCS Datos asistenciales Transferencias RD 446/1994 Población protegida: Presupuesto: Trabajadores: Áreas Sanitarias: 7 Gerencias: 5 de S.S.; 4 A.E. y 2 de A.P. 9 Hosp, 14 CAE, 108 zbs, 256 cs Consultas de Atención Primaria 14 M CE s AE (primeras y sucesivas): 2,8 M IQ s: Urgencias: Ingresos Hospitalarios:

3 SCS Organigrama

4 SCS Recursos Técnicos - 13 Centros de Proceso de Datos nodos de comunicaciones técnicos TIC - 18 Meuros de Presup. TIC ficheros de DCP - 90 aplicaciones en RPI -Por CPD: 150 tps/actualización; 450 tps/consulta sobre BBDD OLTP

5 Hitos de seguridad en el SCS 2007 Reglamento LOPD 2008 Oficina de Seguridad 2009 Procesos LOPD y Definición del SGSI 2010 Publicación RD 3/ Comité de Seguridad SCS (orden C.S. 20 abril de 2010) 2011 Comité Seguridad Gobierno Canarias (19 enero de 2011) 2011 Plan de Adecuación (27/01/2011) 2011 Implantación Proyectos ENS corto plazo 2012/13 Implantación Proyectos ENS medio plazo

6 Especificidades de organización de la seguridad en el SCS Diversos Centros gestores, CPD, órganos de contratación, titulares de ficheros DCP ficheros de nivel alto LOPD y críticos en sus 5 dimensiones Diversos departamentos asumen la organización de la seguridad: informática, calidad, ingeniería, electromedicina, gestión, servicios jurídicos, RRHH, dirección médica, Aplicaciones centralizadas y distribuidas Aplicaciones departamentales de la industria sanitaria Aplicaciones del SNS y del Gobierno de Canarias Comités de seguridad por Gerencia

7 Documentos para la preparación del Plan de Adecuación Ley 11/2007 y RD 3/2010 Ley 15/1999 y RD 1720/2007 Política de Seguridad del SCS y documentación SGSI propia Documentos ISO Criterios de Seguridad, Normalización y Conservación del MAP Guías del CCN ENS CCN STIC 800: Glosario de términos y abreviaturas ENS CCN STIC 801: Responsables y funciones del ENS ENS CCN STIC 802: Auditoría del ENS ENS CCN STIC 803: Valoración de sistemas en el ENS ENS CCN STIC 804: Medidas de implantación del ENS ENS CCN STIC 805: Política de seguridad de la información ENS CCN STIC 806: Plan de adecuación al ENS ENS CCN STIC 807: Criptología de empleo en el ENS ENS CCN STIC 808: Verificación del cumplimiento de las medidas en el ENS ENS CCN STIC 809: Declaración n de conformidad del ENS

8 Situación previa al desarrollo del Plan Dificultades Equivalencia de roles entre la guía CCN-STIC-801 y la propia organización Adaptar inventario de activos y análisis de riesgo a la nueva tipología de activo y a las dimensiones del ENS Complejidad del ENS al encontrar 75 medidas de seguridad Determinar el ámbito de aplicación (serv. e- al ciudadano y entre AAPP) (artículo 30 del ENS, sistemas de inf. No afectados) Criterio común de valoración: aunque ayuda CCN-STIC-803 incorporar en la cultura organizativa el espíritu del art 10 del ENS respecto a la función diferenciada de la Seguridad Ventajas Auditorias bienales: integrarlas con las de lopd con el fin de no complicar la gestión Trabajos previos: SGSI, Regularización LOPD, Doc seguridad, Política de seguridad,

9 Extracto ENS: Responsables Responsables esenciales Responsable de la Información: establece nec. seg. INFORMACIÓN Responsable del Servicio: establece nec. seg. SERVICIO que presta Responsable de Seguridad: establece m.s. adecuadas para los requisitos de los responsables esenciales Responsable del Sistema: encargado de las operaciones del sistema y más relacionado con la propiedad del sistema. Administrador del Sistema Administrador de la Red Administrador de Seguridad del Sistema (ASS) Administradores delegados (sistemas complejos y distribuidos) Incompatibilidad: Resp. Sistema Resp. Seguridad (art. 10 ENS) RLOPD Responsable Información vs Responsable Fichero Responsable Servicio vs Responsable tratamiento Responsable Seguridad ENS <> Responsable Seguridad LOPD

10 Herramienta de ayuda al Plan de Adecuación del SCS

11 Plan de Adecuación Índice del documento 1. Introducción 2. Objeto 3. Responsabilidad 4. Antecedentes 5. Plan de Adecuación a. Política de Seguridad b. Información que se maneja c. Servicios que se prestan d. Datos de carácter personal e. Categoría del sistema f. Declaración de aplicabilidad de las medidas del anexo II g. Análisis de riesgo h. Insuficiencias del sistema i. Plan de mejora de la seguridad 6. Anexos

12 Alcance ENS: Activos resultantes Activos Información Activos Servicios El resto de activos (SW, HW, com, recursos adm, físicos, humanos) heredan su importancia en función del soporte que dan a los activos valorados (inf. y servicios). La herramienta automatiza la presentación de las tablas.

13 Plan de Adecuación. Estado de cumplimiento SCS Marco Operacional 95 controles y 31 medidas Marco Organizativo 18 controles y 4 medidas Medidas Protección 100 controles y 40 medidas Controles CCN 804 TOTAL I.213 controles i. 27 implantados ii. 28 parcialm. implantados iii. 158 sin implantar II.75 medidas i. 10 implantados ii. 23 parcialm. implantados iii. 42 sin implantar Medidas (anexo II)

14 ENS Categorización de los sistemas EOXER RENAL SICH SEAC Drago AP IT TSI SIPRE Eragon15 PPP RPCC ROESB SISA Autoliquidación de ingresos TFWEB87 RPS Certificación de vehículos sanitarios Control atmosferico Reorganización activos de soporte en función de la disponibilidad EOXER SICH SEAC Drago AP TSI RPCC Autoliquidación de ingresos Eragon15 IT PPP ROESB TFWEB87 RENAL SIPRE SISA RPS Certificación de vehículos sanitarios Control atmosférico

15 ENS Categorización de los sistemas Reorganización activos de soporte en función de la confidencialidad EOXER RENAL SICH SEAC Drago AP IT TSI SIPRE Eragon15 RPCC ROESB SISA Autoliquidación de ingresos TFWEB87 RPS Certificación de vehículos sanitarios Control atmosférico EOXER RENAL SICH SEAC Drago AP IT SIPRE RPCC Eragon15 SISA TFWEB87 TSI ROESB Autoliquidación de ingresos RPS Certificación de vehículos sanitarios Control atmosférico

16 ENS Categorización de los sistemas Reorganización activos de soporte en dos dimensiones Sistema Categoría Alta EOXER Disponibilidad Confidencialidad RENAL SICH SEAC Drago AP IT TSI SIPRE Eragon15 Disponibilidad Confidencialidad RPCC ROESB SISA Autol. ingresos TFWEB87 Disponibilidad Confidencialidad RPS Cert vehículos sanitarios Control atmosférico Subsistema 1 Disponibilidad Confidencialidad SICH SEAC Drago AP RPCC Subsistema 2 Disponibilidad Confidencialidad TSI Autol. ingresos Subsistema 3 Disponibilidad Confidencialidad RENAL SIPRE Subsistema 4 Disponibilidad Confidencialidad SISA RPS Cert vehículos sanitarios Control atmosférico Subsistema 5 Disponibilidad Confidencialidad IT ROESB

17 ENS Plan de Mejora Marco Organizativo - Definir el puesto de trabajo (perfiles profesionales) - Procedimentar el reclutamiento de RRHH - Regular la externalización Marco Operacional - Registro de accesos - Gestión de identidades, entrega de credenciales - Plan de continuidad - Monitorización del sistema - Mecanismos de autenticación - DLP, IDS. Medidas de protección - Gestión y destrucción de soportes - Cifrado, anonimización BBDD - Copia auténtica, archivo clínico - Limpieza de documentos - Impresión segura

18 Fin de la presentación - Muchas gracias Juan Carlos Ossorio jossdia@gobiernodecanarias.org